Informativa ai sensi degli artt. 12, 13 e, ove applicabile, 14 del Regolamento (UE) 2016/679
("GDPR") e del D.Lgs. 196/2003 (Codice Privacy), come armonizzato dal D.Lgs. 101/2018 e
successive modifiche e integrazioni.
Ultimo aggiornamento: 01/04/2026 - versione 1.0
La presente informativa descrive le modalità di trattamento dei dati personali effettuate da Maxisoft®
s.r.l. nell'ambito dell'accesso, della registrazione, dell'utilizzo e della gestione dell'area clienti e della
piattaforma software SaaS SmartGarage.biz.
La presente informativa si applica ai dati personali riferiti a clienti persone fisiche, referenti,
amministratori, utenti autorizzati, operatori, collaboratori e altri soggetti che accedono o interagiscono
con l'area riservata o con i servizi digitali resi tramite la piattaforma.
Il Titolare del trattamento è:
Maxisoft® s.r.l.
Via Dorsale, 13
54100 Massa (MS) - Italia
Partita IVA / Codice Fiscale / Iscrizione al Registro delle Imprese di Massa Carrara n. IT00667410450
REA MS 100489
Telefono: +39 0585 793962
E-mail: maxisoft@maxisoft.it
Il Titolare, pur non essendo soggetto all'obbligo di nomina di cui all'art. 37 GDPR, ha volontariamente
designato un Responsabile della Protezione dei Dati (Data Protection Officer - DPO) quale punto di
contatto per ogni questione relativa al trattamento dei dati personali. Il DPO può essere contattato al
seguente indirizzo: privacy@maxisoft.it
La presente informativa riguarda esclusivamente i trattamenti di dati personali effettuati da Maxisoft®
in relazione:
• alla creazione e gestione degli account di accesso alla piattaforma SmartGarage.biz;
• all'erogazione del servizio software SaaS;
• alla gestione dell'area clienti, dei profili utente, delle licenze, degli ordini, dei pagamenti, dei
rinnovi e del supporto tecnico;
• alle attività di sicurezza, controllo accessi, manutenzione, logging, backup e continuità
operativa;
• alle comunicazioni di servizio e, ove applicabile, alle comunicazioni informative o
promozionali rivolte ai clienti e agli utenti autorizzati.
La presente informativa non sostituisce l'informativa privacy che ciascun Cliente di SmartGarage.biz è
tenuto a rendere ai propri clienti finali, dipendenti, collaboratori o ad altri interessati i cui dati
personali siano eventualmente inseriti nella piattaforma sotto la propria responsabilità.
Nell'ambito della piattaforma SmartGarage.biz, Maxisoft® può operare con ruoli diversi, a seconda
della tipologia di dato e della finalità del trattamento.
3.1 Maxisoft® quale Titolare del trattamento
Maxisoft® agisce quale Titolare del trattamento con riferimento ai dati personali trattati per finalità
proprie, tra cui, a titolo esemplificativo:
• gestione del rapporto contrattuale e commerciale con il cliente;
• registrazione e amministrazione degli account utente;
• autenticazione, sicurezza, controllo accessi e prevenzione abusi;
• gestione di ordini, attivazioni, licenze, fatturazione, incassi e adempimenti amministrativi,
contabili e fiscali;
• assistenza tecnica, supporto applicativo e gestione delle richieste di help desk;
• invio di comunicazioni di servizio relative alla piattaforma;
• eventuale invio di comunicazioni informative o promozionali nei casi consentiti dalla
normativa applicabile;
• analisi statistiche, monitoraggio delle prestazioni del Servizio e miglioramento del prodotto,
mediante dati aggregati e, ove possibile, irreversibilmente anonimizzati; qualora tali attività
richiedano il trattamento di dati personali, esse saranno svolte nei limiti delle basi giuridiche
applicabili e nel rispetto dei principi del GDPR.
3.1.1 Analisi statistiche, benchmark di settore e miglioramento del prodotto
Maxisoft® può utilizzare dati derivanti dall'uso aggregato della piattaforma per finalità di business
intelligence, creazione di benchmark di settore (es. 'tempo medio riparazione per tipologia intervento',
'tasso saturazione officine per dimensione'), miglioramento delle funzionalità del software e sviluppo
prodotto.
Tali trattamenti sono effettuati esclusivamente su dati irreversibilmente anonimizzati che non
consentono più la re-identificazione del Cliente o dei suoi clienti finali, oppure su dati aggregati a
livello settoriale (minimo 10 officine aggregate) che non permettono l'identificazione del singolo
Cliente.
Qualora eccezionalmente fosse necessario trattare dati personali o pseudonimizzati per tali finalità,
Maxisoft® richiederà il preventivo consenso esplicito del Cliente oppure si avvarrà del legittimo
interesse ai sensi dell'art. 6, par. 1, lett. f), GDPR, garantendo:
• Valutazione di impatto e bilanciamento degli interessi documentata (Legitimate Interest
Assessment - LIA);
• Misure tecniche per minimizzazione e pseudonimizzazione;
• Diritto del Cliente di opporsi al trattamento in qualsiasi momento ai sensi dell'art. 21 GDPR,
scrivendo a privacy@maxisoft.it.
I dati così trattati non sono mai ceduti, venduti o comunicati a terzi per finalità commerciali. I risultati
aggregati o anonimizzati (es. 'Report Benchmark Settore Automotive 2026') possono essere utilizzati
da Maxisoft® per finalità di marketing, ricerca o pubblicazione scientifica, senza che sia possibile
risalire al singolo Cliente.
3.2 Maxisoft® quale Responsabile del trattamento
Con riferimento ai dati personali che il Cliente inserisce, carica, organizza, consulta o tratta all'interno
della piattaforma per le proprie finalità aziendali, Maxisoft® può operare quale Responsabile del
trattamento ai sensi dell'art. 28 del GDPR, per conto del cliente stesso, che resta Titolare del
trattamento. In tali casi, Maxisoft® tratta i dati esclusivamente secondo le istruzioni documentate del
Cliente e nei limiti del contratto di servizio e dell'eventuale accordo sul trattamento dei dati personali.
Rientrano in questa categoria, a titolo esemplificativo, i dati relativi a clienti finali, veicoli,
appuntamenti, ordini di lavorazione, preventivi, documenti commerciali, fatture, archivi, registrazioni
operative e ogni altro contenuto immesso dal cliente nella piattaforma nell'ambito della propria
attività.
Maxisoft® può trattare le seguenti categorie di dati personali.
Ai fini della validità probatoria dei contratti conclusi elettronicamente e della sicurezza del servizio,
Maxisoft® s.r.l. registra l'indirizzo IP e il browser/device (user agent) dell'utente al momento di ogni
accettazione contrattuale elettronica. Base giuridica: legittimo interesse (art. 6(1)(f) GDPR). Periodo di
conservazione: 10 anni dalla data di conclusione o cessazione del contratto.
I dati personali possono essere raccolti:
• direttamente dall'interessato, in fase di registrazione, acquisto, attivazione dell'account,
utilizzo della piattaforma o richiesta di supporto;
• dal cliente che designa i propri utenti autorizzati o amministratori di sistema interni;
• da soggetti terzi coinvolti nella gestione del rapporto contrattuale o dei pagamenti;
• dai sistemi informatici e di sicurezza utilizzati per l'erogazione del servizio, nei limiti di quanto
necessario al funzionamento tecnico e alla protezione della piattaforma.
Qualora i dati personali di utenti autorizzati, referenti o amministratori di sistema siano comunicati a
Maxisoft® dal Cliente o da altro referente aziendale, la presente informativa è resa disponibile
all'interessato entro un termine ragionevole e, di regola, al primo accesso utile alla piattaforma o alla
prima comunicazione diretta, in conformità all'art. 14 GDPR.
I dati personali sono trattati per le seguenti finalità.
Base giuridica:
• Per il Cliente persona fisica (es. titolare officina ditta individuale) o amministratore/legale
rappresentante del Cliente società: esecuzione del contratto ai sensi dell'art. 6, par. 1, lett.
• Per gli utenti autorizzati, dipendenti, collaboratori o delegati del Cliente società: legittimo
interesse di Maxisoft® e del Cliente ai sensi dell'art. 6, par. 1, lett. f), GDPR, a gestire,
amministrare e proteggere l'accesso alla piattaforma SaaS oggetto del contratto stipulato con
il Cliente datore di lavoro/committente. Il legittimo interesse è stato valutato mediante
Legitimate Interest Assessment (LIA) ed è stato ritenuto prevalente rispetto agli interessi, diritti
e libertà dell'interessato, considerato che:
il Cliente;
dipendenti/collaboratori;
possibilità per il Cliente di organizzare diversamente l'accesso al servizio.
Il Cliente è tenuto a informare preventivamente i propri utenti autorizzati della presente informativa
prima di abilitare il loro accesso alla piattaforma.
6.1 Trattamenti eseguiti da Maxisoft® quale Responsabile del trattamento per conto del Cliente
Con riferimento ai dati personali che il Cliente inserisce, carica, organizza, consulta o tratta all'interno
della piattaforma SmartGarage.biz per le proprie finalità aziendali, professionali o commerciali (es.
dati dei clienti finali dell'officina, dati relativi ai veicoli, appuntamenti, ordini di lavorazione, storico
interventi, preventivi, fatture, documenti operativi), Maxisoft® agisce quale Responsabile del
trattamento ai sensi dell'art. 28 GDPR.
In tale veste, Maxisoft®:
• Tratta i dati esclusivamente sulla base delle istruzioni documentate del Cliente, che rimane
Titolare del trattamento;
• Non determina le finalità e i mezzi essenziali del trattamento;
• Non utilizza i dati per finalità proprie diverse dalla mera erogazione tecnica del servizio;
• È vincolata agli obblighi previsti dal DPA (Data Processing Agreement - Accordo sul
trattamento dei dati personali) che costituisce parte integrante del rapporto contrattuale.
Le finalità del trattamento di tali dati sono determinate autonomamente dal Cliente (es. gestione
rapporti con clientela finale, adempimenti fiscali, marketing diretto verso propri clienti, analisi
business, ecc.) e il Cliente è l'unico responsabile della liceità di tali trattamenti, della verifica delle
basi giuridiche applicabili e dell'adempimento degli obblighi informativi verso i propri interessati.
Maxisoft® NON è responsabile:
• della liceità dei trattamenti effettuati dal Cliente tramite la piattaforma;
• dell'adeguatezza delle basi giuridiche scelte dal Cliente;
• dell'adempimento degli obblighi informativi del Cliente verso i propri clienti finali;
• del contenuto dei dati immessi dal Cliente nella piattaforma.
Per maggiori dettagli su obblighi, responsabilità, misure di sicurezza, sub-responsabili, assistenza in
caso di data breach e diritti degli interessati relativamente ai dati trattati da Maxisoft® quale
Responsabile, si rinvia al DPA (Data Processing Agreement) pubblicato sul sito SmartGarage.biz e
accettato dal Cliente contestualmente ai Termini e Condizioni SaaS.
6.2 Trattamenti di dati aggregati e anonimizzati
Maxisoft® può utilizzare dati derivanti dall'uso della piattaforma in forma rigorosamente aggregata e
irreversibilmente anonimizzata (minimo 10 clienti) per finalità di business intelligence, creazione di
benchmark di settore e miglioramento del prodotto. Tali dati non costituiscono più dati personali ai
sensi dell'art. 4, par. 1, GDPR e sono trattati sulla base del legittimo interesse (art. 6, par. 1, lett. f)
GDPR), previa Legitimate Interest Assessment documentata. Il Cliente può opporsi in qualsiasi
momento scrivendo a privacy@maxisoft.it.
Il conferimento dei dati necessari alla registrazione dell'account, alla conclusione del contratto, alla
gestione del pagamento, all'erogazione del servizio e all'assistenza tecnica è necessario per
consentire la corretta esecuzione del rapporto. L'eventuale mancato conferimento può rendere
impossibile attivare o utilizzare la piattaforma, fornire il supporto richiesto o adempiere agli obblighi
contrattuali e di legge.
Il conferimento dei dati per finalità promozionali o newsletter è facoltativo. Il mancato conferimento o
la mancata prestazione del consenso non pregiudicano l'utilizzo del servizio.
Il trattamento dei dati personali è effettuato con strumenti cartacei, informatici e telematici, secondo
logiche strettamente correlate alle finalità sopra indicate e nel rispetto dei principi di liceità,
correttezza, trasparenza, minimizzazione, esattezza, integrità, riservatezza e limitazione della
conservazione.
Maxisoft® adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza
appropriato al rischio, anche in relazione al controllo degli accessi, alla protezione delle credenziali,
alla segregazione dei dati, alla continuità operativa, al backup, al monitoraggio tecnico e alla
prevenzione di perdita, distruzione, modifica o divulgazione non autorizzata dei dati.
8.1 Privacy by Design e by Default
La piattaforma SmartGarage.biz è progettata secondo i principi di Privacy by Design e by Default (art.
25 GDPR):
• minimizzazione: raccolta solo dati strettamente necessari;
• pseudonimizzazione: ove tecnicamente possibile;
• sicurezza integrata: con sistemi di crittografia nativa;
• impostazioni predefinite: raccolta/condivisione dati al minimo (opt-in, non opt-out);
• configurabilità: Cliente può limitare ulteriormente dati raccolti.
I dati personali possono essere trattati, nei limiti delle rispettive competenze e per le finalità indicate,
da:
• personale autorizzato di Maxisoft®;
• fornitori di servizi hosting, cloud, housing, manutenzione infrastrutturale, sicurezza
informatica, backup e continuità operativa;
• fornitori di servizi software, assistenza tecnica, help desk, ticketing, comunicazioni
elettroniche e gestione notifiche;
• fornitori di servizi amministrativi, fiscali, contabili, legali o organizzativi;
• istituti bancari, provider di pagamento e soggetti coinvolti nell'esecuzione delle transazioni;
• soggetti pubblici o autorità competenti, nei casi previsti dalla legge.
Tali soggetti possono operare, a seconda dei casi, in qualità di autonomi titolari del trattamento
oppure di responsabili del trattamento debitamente nominati.
9.1 Sub-responsabili del trattamento per dati trattati quale Responsabile
Con riferimento ai dati personali trattati da Maxisoft® quale Responsabile del trattamento per conto
del Cliente, Maxisoft® può avvalersi di fornitori terzi che accedono ai dati per fornire servizi strumentali
all'erogazione della piattaforma (c.d. sub-responsabili del trattamento) ai sensi dell'art. 28, par. 4,
GDPR.
Autorizzazione generale del Cliente: Il Cliente, accettando i Termini e Condizioni SaaS e il DPA,
autorizza in via generale Maxisoft® a nominare sub-responsabili del trattamento, a condizione che:
• Maxisoft® mantenga aggiornato l'elenco dei sub-responsabili sul sito SmartGarage.biz o area
riservata clienti;
• Maxisoft® informi il Cliente con almeno 30 giorni di anticipo di ogni intenzione di modificare
l'elenco (aggiunta o sostituzione sub-responsabili);
• Il Cliente abbia il diritto di opporsi alla nomina di un nuovo sub-responsabile per motivi
legittimi e comprovati entro 20 giorni solari dalla notifica, caso in cui Maxisoft® si asterrà
dall'utilizzare tale sub-responsabile oppure offrirà al Cliente soluzioni alternative o la
possibilità di recedere senza penali.
Obblighi di Maxisoft® verso i sub-responsabili: Maxisoft® impone a ciascun sub-responsabile,
mediante contratto o altro atto giuridico vincolante, gli stessi obblighi in materia di protezione dei dati
previsti nel DPA tra Maxisoft® e il Cliente. In caso di inadempimento del sub-responsabile, Maxisoft®
rimane pienamente responsabile nei confronti del Cliente per l'adempimento degli obblighi del sub-
responsabile.
Categorie principali di sub-responsabili:
• fornitori di servizi cloud, hosting e infrastruttura;
• fornitori di servizi di backup e disaster recovery;
• fornitori di servizi di comunicazione elettronica (email, SMS, notifiche push);
• fornitori di servizi di sicurezza informatica e monitoraggio;
• fornitori di servizi di supporto tecnico e help desk.
L'elenco completo e aggiornato dei sub-responsabili con indicazione del servizio fornito e della
localizzazione geografica è disponibile su richiesta scrivendo a privacy@maxisoft.it oppure
consultando la sezione dedicata sul sito SmartGarage.biz.
Di regola, i dati personali sono trattati e conservati all'interno dello Spazio Economico Europeo.
Qualora, per esigenze tecniche o organizzative, si rendesse necessario trasferire dati personali verso
Paesi non appartenenti allo Spazio Economico Europeo, tale trasferimento avverrà nel rispetto degli
artt. 44 e seguenti del GDPR, sulla base di una decisione di adeguatezza della Commissione europea
oppure mediante l'adozione di garanzie appropriate, quali clausole contrattuali standard o altri
strumenti previsti dalla normativa applicabile.
Per i trasferimenti verso organizzazioni stabilite negli Stati Uniti potrà essere utilizzato, ove applicabile,
il quadro dell'EU-U.S. Data Privacy Framework esclusivamente nei confronti di soggetti che risultino
effettivamente aderenti a tale meccanismo.
L'interessato può richiedere ulteriori informazioni sui trasferimenti effettuati e ottenere copia delle
garanzie appropriate adottate, oppure indicazione del luogo in cui tali garanzie sono state rese
disponibili, contattando il Titolare ai recapiti indicati nella presente informativa.
Le condizioni relative all'export dei dati, alla portabilità contrattuale e allo switching verso altro
fornitore di servizi di elaborazione dati sono disciplinate dai Termini e Condizioni SaaS, dal DPA e dalla
documentazione contrattuale applicabile.
Il presente richiamo ha finalità esclusivamente informativa e non sostituisce né modifica la disciplina
contrattuale applicabile al Cliente.
I dati personali trattati da Maxisoft® quale Titolare sono conservati per il tempo strettamente
necessario al perseguimento delle finalità per le quali sono raccolti e, successivamente, nei limiti
consentiti dalla legge per finalità amministrative, fiscali, probatorie, difensive e di tutela dei diritti del
Titolare.
In particolare:
• i dati relativi agli account utente, al rapporto contrattuale, agli ordini, alle licenze, alla
fatturazione e alla gestione amministrativa del cliente sono conservati per la durata del
rapporto e, successivamente, per il periodo richiesto dalla normativa civilistica, fiscale e
contabile applicabile;
• i dati relativi a richieste commerciali o di attivazione non sfociate nella conclusione del
contratto sono conservati, di regola, per un periodo non superiore a 12 mesi dalla chiusura
della richiesta;
• i dati relativi ai ticket di assistenza e alle attività di supporto sono conservati per il tempo
necessario alla gestione della richiesta e, successivamente, di regola per un periodo non
superiore a 24 mesi dalla chiusura del ticket, salvo ulteriore conservazione necessaria per
esigenze di sicurezza, difesa dei diritti del Titolare o contenzioso;
• i dati vocali, le eventuali registrazioni audio e le trascrizioni delle interazioni tramite sistemi di
assistenza vocale o AI sono conservati per il tempo strettamente necessario alla gestione della
richiesta e, di regola, non oltre 12 mesi dalla chiusura della pratica, salvo esigenze di
sicurezza, contestazioni, esercizio o difesa di diritti o obblighi di legge;
• i log tecnici di sistema e gli audit trail relativi ad accessi e operazioni critiche sono conservati
per un periodo di 12 mesi per finalità di monitoraggio ordinario, estendibile fino a 24 mesi
esclusivamente per esigenze legate alla sicurezza informatica, alla prevenzione delle frodi e
alla gestione di incidenti o per il tempo necessario alla tutela dei diritti del Titolare in caso di
contestazioni;
• in caso di cessazione del rapporto, i dati trattati da Maxisoft® per conto del Cliente saranno
restituiti, esportati, cancellati o anonimizzati secondo quanto previsto dal contratto, dal DPA,
dai tempi tecnici necessari per backup, ripristino, esportazione o cancellazione e dagli
eventuali obblighi di legge applicabili;
• i dati trattati per finalità di marketing sono conservati per un periodo massimo di 24 mesi dalla
raccolta del consenso o dall'ultima interazione utile documentata con l'interessato, salvo
revoca anticipata del consenso o opposizione esercitata prima di tale termine;
12.1 Conservazione dei dati trattati quale Responsabile del trattamento:
Per i dati personali trattati da Maxisoft® quale Responsabile del trattamento per conto del Cliente (dati
inseriti dal Cliente nella piattaforma per proprie finalità), la conservazione è disciplinata dal Cliente
stesso quale Titolare del trattamento.
Maxisoft® conserva tali dati:
• Durante il rapporto contrattuale: per tutta la durata del contratto, secondo le istruzioni e le
necessità operative del Cliente;
• Alla cessazione del contratto: secondo quanto previsto dai Termini e Condizioni SaaS e dal
DPA, Maxisoft® garantisce un periodo di 60 giorni dalla data di effettiva cessazione per
consentire l'esportazione dei dati da parte del Cliente. Decorso tale termine, i dati sono
cancellati o anonimizzati, salvo copie residuali tecniche nei sistemi di backup che sono
sovrascritte secondo i cicli automatici ordinari (tipicamente entro 90 giorni dalla cancellazione
attiva);
• Eccezioni alla cancellazione: Maxisoft® può conservare i dati oltre i termini sopra indicati
esclusivamente nei seguenti casi:
stragiudiziale, limitatamente ai dati strettamente necessari e per il tempo strettamente
indispensabile;
(servizio a pagamento).
Il Cliente è responsabile di eseguire l'export dei propri dati entro il termine di 60 giorni. Decorso tale
termine, Maxisoft® non sarà più in grado di recuperare i dati cancellati, salvo eventuali copie di backup
residuali che saranno comunque eliminate secondo i cicli tecnici di retention.
Per dettagli operativi sul processo di esportazione, restituzione e cancellazione dati in fase di
switching o cessazione contratto, si rinvia all'art. 17 dei Termini e Condizioni SaaS e al DPA.
L'area clienti e la piattaforma SmartGarage.biz possono utilizzare cookie tecnici, identificativi di
sessione, token di autenticazione e altri strumenti strettamente necessari al funzionamento del
servizio, alla gestione della sessione utente, alla sicurezza degli accessi e alla continuità
dell'esperienza applicativa.
Eventuali ulteriori cookie o strumenti di tracciamento non tecnici sono disciplinati dalla specifica
Cookie Policy del sito e della piattaforma, nonché dal sistema di gestione del consenso, ove richiesto
dalla normativa applicabile.
L'interessato può esercitare, nei casi previsti dalla normativa applicabile, i diritti riconosciuti dagli artt.
15 e seguenti del GDPR, tra cui il diritto di ottenere l'accesso ai dati personali, la rettifica, la
cancellazione, la limitazione del trattamento, l'opposizione al trattamento e, ove applicabile, la
portabilità dei dati, nonché il diritto di revocare in qualsiasi momento il consenso eventualmente
prestato, senza pregiudicare la liceità del trattamento effettuato prima della revoca. L'interessato ha
inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali.
Per l'esercizio dei diritti è possibile utilizzare i recapiti indicati nella presente informativa. Maxisoft®
fornirà riscontro senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della
richiesta, salvo proroga nei casi consentiti dall'art. 12 GDPR.
14.1 Gestione richieste per dati trattati quale Responsabile:
Qualora la richiesta di esercizio diritti riguardi dati personali trattati da Maxisoft® esclusivamente
quale Responsabile del trattamento per conto del Cliente (es. dati inseriti dal Cliente nella piattaforma
riguardanti i suoi clienti finali), Maxisoft® applicherà la seguente procedura:
Per esercitare i diritti sopra indicati o per ricevere chiarimenti in merito al trattamento dei dati
personali, l'interessato può contattare:
Maxisoft® s.r.l.
Via Dorsale, 13
54100 Massa (MS) - Italia
E-mail: privacy@maxisoft.it
Qualora la piattaforma o i servizi di assistenza mettano a disposizione chatbot, agenti vocali o altri
sistemi di Intelligenza Artificiale, l'utente sarà chiaramente informato del fatto che sta interagendo con
un sistema automatizzato.
Tali strumenti sono utilizzati per facilitare l'accesso alle funzionalità della piattaforma e gestire il
supporto tecnico.
Salvo diversa specifica informativa, tali strumenti non sono utilizzati per assumere decisioni
unicamente automatizzate che producano effetti giuridici o analogamente significativi nei confronti
dell'interessato ai sensi dell'art. 22 GDPR.
Qualora l'interazione comporti la registrazione della conversazione o la generazione di trascrizioni,
l'utente ne sarà previamente informato. Ove previsto dal servizio, resta ferma la possibilità di
escalation verso un operatore umano.
Maxisoft® garantisce che i sistemi di IA siano chiaramente identificabili come artificiali ai sensi dell'art.
50 del Regolamento (UE) 2024/1689 (AI Act) e mantiene supervisione umana sui processi critici.
L'utente ha in ogni momento il diritto di richiedere l'escalation immediata a un operatore umano.
16.1 Utilizzo dati per addestramento modelli di Intelligenza Artificiale:
Maxisoft® garantisce che i dati personali e i contenuti inseriti dal Cliente nella Piattaforma
SmartGarage.biz (dati trattati quale Responsabile) non saranno mai utilizzati per l'addestramento di
modelli di intelligenza artificiale, né di terze parti né di modelli proprietari interni Maxisoft®, salvo nei
seguenti casi eccezionali:
Trasparenza AI Act: Per i sistemi di IA integrati nella piattaforma (chatbot, agenti vocali), Maxisoft®
utilizza:
• modelli di linguaggio di terze parti tramite API che, secondo le condizioni contrattuali dei
fornitori, non utilizzano i dati delle API call per addestrare i loro modelli pubblici;
• documentazione tecnica, FAQ e knowledge base interne Maxisoft® per fornire risposte
contestualizzate;
• dati aggregati e anonimi per migliorare la qualità delle risposte.
Gli interessati i cui dati sono trattati tramite sistemi di IA hanno sempre il diritto di richiedere
l'intervento umano.
La presente informativa può essere soggetta a modifiche o aggiornamenti, anche in conseguenza di
variazioni normative, organizzative, tecniche o funzionali della piattaforma. Le modifiche saranno
pubblicate in questa pagina e, ove necessario, portate a conoscenza degli utenti con modalità
appropriate.
Maxisoft® implementa misure di sicurezza avanzate ispirate ai framework internazionali e ai principi
della Direttiva (UE) 2022/2555 (NIS2) come attuata dal D.Lgs. 138/2024, incluse la gestione delle
vulnerabilità e la cifratura dei dati.
Resta inteso che tale riferimento descrive il framework di riferimento adottato per la gestione della
sicurezza e non costituisce dichiarazione di qualifica automatica di Maxisoft® quale soggetto
essenziale o importante ai sensi della NIS2, salvo diversa comunicazione ufficiale separata.
18.1 Data Breach su dati trattati quale Responsabile (per conto del Cliente)
In caso di violazione dei dati personali (data breach) che coinvolga dati personali trattati da Maxisoft®
quale Responsabile del trattamento per conto del Cliente, Maxisoft® si impegna a:
• notificare il Cliente (Titolare) senza ingiustificato ritardo e comunque entro 48 ore dalla
scoperta della violazione, (momento in cui Maxisoft® ha acquisito la ragionevole certezza
dell'evento), tramite email all'indirizzo del referente amministrativo del Cliente e, per i clienti
con piano PRO, anche tramite chiamata telefonica al responsabile tecnico;
• fornire aggiornamenti successivi senza ritardo qualora nuove informazioni diventino
disponibili;
• fornire nella notifica le seguenti informazioni, ove disponibili:
• assistere il Cliente nell'adempimento degli obblighi di cui agli artt. 33 (notifica all'autorità
Garante) e 34 (comunicazione agli interessati) del GDPR, fornendo:
18.2 Data Breach su dati trattati quale Titolare (propri dati di Maxisoft®)
In caso di violazione dei dati personali trattati da Maxisoft® quale Titolare (es. dati amministrativi del
Cliente, dati account utente, dati fatturazione), Maxisoft® adempirà autonomamente agli obblighi di
cui agli artt. 33 e 34 GDPR:
• Notifica al Garante Privacy entro 72 ore dalla scoperta (se la violazione presenta un rischio per
i diritti e le libertà degli interessati);
• Comunicazione agli interessati senza ingiustificato ritardo (se la violazione presenta un rischio
elevato);
• Documentazione interna della violazione nel registro dei trattamenti.
18.3 Registro delle violazioni:
Maxisoft® mantiene un registro interno di tutte le violazioni di dati personali, comprensive di fatti,
effetti e misure correttive adottate, come previsto dall'art. 33, par. 5, GDPR. Il Cliente può richiedere
evidenza delle violazioni che hanno coinvolto i suoi dati scrivendo a privacy@maxisoft.it.
18.4 Misure preventive:
Maxisoft® adotta misure tecniche e organizzative ispirate alla Direttiva NIS2 e agli standard normativi
europei e nazionali in tema di cybersecurity per prevenire violazioni, incluse:
• Crittografia end-to-end per dati in transito (TLS 1.3);
• Crittografia AES-256 per dati at rest;
• Sistemi di rilevamento intrusioni (IDS/IPS);
• Monitoraggio proattivo 24/7 delle minacce;
• Gestione vulnerabilità con patching regolare;
• Backup geograficamente ridondanti con test periodici di ripristino;
• Formazione periodica del personale su sicurezza e privacy."
19.1 Trattamenti di Maxisoft® quale Titolare:
Maxisoft® non esegue processi decisionali basati unicamente su trattamento automatizzato,
compresa la profilazione, che producano effetti giuridici o analogamente significativi nei confronti
dell'interessato, ai sensi dell'art. 22 GDPR.
Eventuali sistemi di raccomandazione, suggerimento o automazione presenti nella piattaforma (es. 'il
sistema suggerisce di programmare il tagliando a 15.000 km') hanno finalità di assistenza operativa e
non limitano in alcun modo:
• l'accesso alle funzionalità;
• la possibilità del Cliente di operare scelte diverse;
• i diritti contrattuali o legali del Cliente o degli utenti.
19.2 Trattamenti effettuati dal Cliente tramite la piattaforma:
Qualora il Cliente utilizzi la piattaforma SmartGarage.biz per effettuare decisioni automatizzate nei
confronti dei propri clienti finali (es. automatizzazione totale dei preventivi, sistemi di scoring clienti,
decisioni automatiche su concessione credito/garanzie), il Cliente, quale Titolare del trattamento, è
l'unico responsabile:
• di verificare la sussistenza dei presupposti di cui all'art. 22, par. 2, GDPR (consenso esplicito,
necessità per contratto, autorizzazione legge);
• di rendere adeguata informativa agli interessati ai sensi dell'art. 13, par. 2, lett. f), GDPR;
• di implementare adeguate garanzie (intervento umano, espressione opinione, contestazione
decisione);
• di documentare la logica e il funzionamento dell'algoritmo utilizzato.
Maxisoft® fornisce al Cliente gli strumenti tecnici (es. flag 'decisione automatica', campi note per
motivazioni) ma non è responsabile dell'uso che il Cliente ne fa.